問:近日有不少Android用家投訴,他們透過家中的固網網絡下載軟件,都會變成下載UC瀏覽器,但又不像自己的手機中了病毒?有人指這是電訊公司利用劫持技術,迫用戶下載個別公司的軟件,這到底發生了什麼事?
李建軍:任何人透過電訊公司網絡下載軟件,或瀏覽網絡,都要經過電訊公司的DNS解讀網址,以及透過電訊公司的快取主機,以及路由器,才能與你打算下載軟件或瀏覽內容的主機聯絡,取得你想要的資料。
而中國的軟件公司,濫用DNS劫持技術,將用來封鎖敏感內容的技術拿來賺錢,當你想下載Android軟件時,電訊公司的DNS乾脆指向電訊公司合作夥伴的主機上,然後迫你下載你根本不想用的軟件,DNS污染和劫持技術不單影響中國網民的資訊自由,更加變成了另類賺錢工具。
問:那除了下載Android軟件時,會受到電訊公司的污染手法所影響,一般網民瀏覽網站時,又會否受到電訊公司的污染手段所影響?
李建軍:由於你瀏覽網站時,除非作翻牆,或相關網站用HTTPS加密通訊,否則電訊公司可以透過快取主機,在你瀏覽的內容上"加鹽加醋",最普遍的例子是加了一些不明來歷廣告在你瀏覽網頁內容中。但更離譜的例子都有,例如注入一些病毒代碼在你的瀏覽內容之中,令你不知不覺中了病毒也不知。換言之,不作翻牆再瀏覽網站,本身已經是危險行為。
問:那要避免受到電訊公司的DNS劫持,以及注入受污染內容的影響,最有效方法是怎做?
李建軍:當你清理了電腦或手機上的DNS快取後,盡可能用VPN上網,因為VPN主機會用乾淨的DNS主機,而VPN主機的快取主機,由於受到海外執法機構監管,亦不可能注入有病毒的代碼。而使用無界瀏覽、動態網之類的翻牆軟件,也是確保瀏覽安全的方法,因為翻牆軟件透過代理主機將內容送到你面前,而翻牆軟件開發商的代理主機,並不會將受污染內容注入你所看的內容中。
問:現時很多人都會買智能手錶,配合Android或iOS手機使用,但最近有人發現在ebay所買到的中國製智能手錶,內置一些奇怪程式,會將資料傳回在中國的主機上。智能手錶其實會否成為一個新漏洞?
李建軍:其實所謂智能手錶,都是類似智能手機般的小電腦,智能手錶的作業系統、中央處理器、記憶體容量,都與智能手機類似。既然智能手錶軟硬件上具備類似智能手機的能力,智能手機會出現的保安問題,在智能手錶上一樣會出現,因此聽眾並不能夠對智能手錶的安全問題掉以輕心,以為智能手錶只是智能手機的附屬品,就不會帶來保安問題。
由於中國廠商已經看中智能手錶這個漏洞,因此,選購智能手錶時,盡量避免購買廉價的不知名品牌,因此一如現時的廉價不知名品牌手機一樣,作業系統很可能設下後門,暗中將你的個人資料傳到不知名的主機中。另一方面,中國品牌的智能手錶,雖然未發現有任何問題,但以中國大廠在智能手機所做的行為,遲早在智能手錶上出現,換言之,中國大品牌的智能手錶都不會安全。
當然,亦要小心用於智能手錶上的應用程式,就算你買大品牌的智能手錶,如果有心人在智能手錶上的應用程式做手腳,一樣會有私隱問題。在這方面,Android的問題會比蘋果的智能手錶來得大,因為蘋果會嚴格監管於App Store上的手錶應用程式。
0:00 / 0:00